隨著網路威脅愈來愈先進,組織必須採取主動的網路安全策略來保護其關鍵資產。其中一項重要的作法就是威脅獵捕 (threat hunting),這是一種在網路中的潛在威脅造成傷害之前就積極找出威脅的策略。
防火牆、防毒軟體和自動偵測系統等傳統安全工具雖然有效,但並非萬無一失。威脅份子不斷開發新的技術,以繞過這些防禦系統。網路威脅獵捕在識別和減緩避開自動偵測系統的威脅方面扮演重要角色,使組織能夠領先對手。
何謂威脅獵捕?
威脅追蹤是一種主動的過程,透過網路、端點和資料集進行搜尋,以辨識並緩解躲過傳統安全措施的網路威脅。與依賴自動警示的被動式方法不同,威脅獵捕強調人類的專業知識,以找出潛伏在組織基礎架構中的複雜威脅。隨著組織的威脅獵取能力日漸成熟,此類作業可藉由自動化功能加以強化,並擴展至更大的工作能力。
威脅獵人在網路安全中的角色
威脅獵人是組織網路安全架構的主動捍衛者。他們的主要職責是在隱藏的威脅升級為全面性的安全事故之前偵測出來。
威脅獵人運用對於敵人能力與行為的知識,深入探究網路流量、尋找安全記錄中的可疑軌跡,並辨識可能未被視為足以導致自動偵測的關鍵異常。如此一來,威脅獵人在強化組織的安全勢態中扮演了重要的角色。
威脅獵人利用行為分析技術區分正常與惡意的網路活動。此外,威脅獵人還能提供可行的情報,讓安全團隊了解如何強化現有的防禦系統、精進自動偵測系統,並在安全漏洞被利用前將其堵塞。
威脅獵人專注於已知的威脅和新興的攻擊方法,可大幅降低組織對被動安全措施的依賴,進而培養主動防禦的文化。
為什麼威脅獵捕對關鍵基礎建設至關重要?
由於威脅者的策略日益複雜,威脅獵取已成為現代網路安全不可或缺的作法。許多對手,尤其是進階持續性威脅 (APT),可能會利用隱匿技術和躲避性惡意軟體,長時間不被發現,經常繞過傳統的安全防禦工具。
如果沒有主動的網路威脅獵捕,這些隱藏的攻擊可能會在網路中停留數月,擷取敏感資料或準備大規模的中斷。此外,威脅獵捕在減少停留時間(威脅攻擊者在系統中未被發現的時間)方面扮演重要角色。攻擊者未被偵測到的時間越長,就越有機會牢牢紮根於環境中,並對組織的基礎架構和資料造成更大的損害。
除縮短停留時間外,威脅獵取還能增強組織的事件回應能力。藉由在威脅顯現為攻擊之前主動識別威脅,安全團隊可以迅速有效地回應,將潛在攻擊的影響降至最低。
此外,將威脅獵取整合到安全框架中的組織,可以更深入地瞭解敵人的策略,從而持續改善防禦。此方法也有助於法規遵循,因為許多網路安全法規都規定必須主動偵測威脅。
最後,威脅獵捕可以強化組織的整體安全文化,確保安全團隊對不斷演進的網路威脅保持警覺,並做好充分的準備。
網路威脅獵捕如何運作
網路威脅獵捕程序通常包含幾個關鍵步驟:
- 產生假設:根據威脅情資和組織環境知識,網路威脅獵人會考慮過去的攻擊和特定產業的威脅,針對潛在威脅提出假設。
- 資料收集:從網路日誌、端點遙測和雲端環境等各種來源收集相關資料,進行全面分析。
- 資料分析: 獵人會仔細檢查收集到的資料,找出可能顯示惡意活動的異常、不尋常模式和行為,有時還會利用機器學習和統計模型。
- 調查:對可疑的發現進行深入調查,以判斷它們是否代表真正的威脅或誤判,確保有效地分配資源。
- 回應: 透過遏制、根除和恢復措施迅速處理已確認的威脅,以減輕潛在損害。
- 持續改善:每次主動獵捕威脅所獲得的洞察力都會用來改善安全政策、強化自動化威脅偵測系統,以及改善未來的獵捕。
網路威脅獵捕的類型
威脅獵捕方法可分為四種主要類型:
| 結構化狩獵 | 根據對手的戰術、技術和程序 (TTP) 的已知標準提出假設,以引導追捕行動,確保採取有條不紊的方法。 |
| 非結構性狩獵 | 此方法以直覺為驅動力,較少著重於已知的入侵指標 (IOC),因此可更靈活地在已識別的觸發點之前和之後搜尋惡意活動。 |
| 情境或實體驅動狩獵 | 專注於高風險或高價值實體,例如敏感資料或關鍵運算資源,協助優先進行網路威脅調查工作。 |
| 機器學習輔助狩獵 | 使用人工智慧偵測異常現象,並協助人類分析師更有效率地辨識潛在威脅,提高可擴充性。 |
威脅獵捕模型
有幾種模式可以指導威脅獵殺實務:
- 基於情報的狩獵:依靠威脅情資來源,例如 IOC、IP 位址和網域名稱,根據外部情報來源識別潛在的網路威脅。這通常被認為是較不成熟且成效較低的獵捕對手方法,但在某些情況下可能有用。
- 基於假設的狩獵:包括根據分析、情報或情境意識建立假設,以引導狩獵程序朝向未知的威脅。
- 使用攻擊指標 (IOA) 進行調查:專注於識別對手的行為和攻擊模式,以便在威脅發生之前偵測到網路安全威脅。
- 以行為為基礎的獵捕:偵測異常使用者和網路行為,而非依賴預先定義的指標,提供更動態的偵測方法。
基本的威脅獵捕工具
有效的威脅獵捕需要一套專門的工具:
- 安全資訊與事件管理 (SIEM) 系統:聚合並分析來自不同來源的安全警示。
- Endpoint 偵測與回應 (EDR) 解決方案: 監控端點活動,以偵測自動化系統遺漏的威脅並作出回應。EDR 產品會產生有關組織端點活動的豐富資料集,在研究出基於主機的新戰術、技術和程序 (TTP) 時,提供持續浮現發現的機會。
- 網路偵測與回應 (NDR) 解決方案:監控和分析網路流量,根據網路通訊偵測敵人的活動。多種常見的敵人策略都依賴於網路,包括橫向移動、指揮與控制以及資料滲透。網路層產生的訊號可能有助於識別威脅者活動的跡象。
- 管理式偵測與回應 (MDR) 服務:提供外包的威脅獵取與回應能力。
- 安全分析平台:利用先進的分析(包括機器學習)來識別異常現象和潛在威脅。這些類型的系統對於彙集事件資料、以有意義的方式進行分析,以及揭露關鍵網路威脅狩獵結果的洞察力至關重要。
- Threat Intelligence 平台:匯整來自不同來源的威脅情資資料,以協助識別威脅。
- 使用者與實體行為分析 (UEBA):分析使用者行為模式,以偵測潛在的內部威脅或外洩帳戶。
威脅獵捕 vs.Threat Intelligence
儘管威脅獵取與威脅情資密切相關,但兩者在網路安全中的角色截然不同,卻又相輔相成。
威脅情資包括蒐集、分析及傳播現有與新興威脅的相關資訊,讓組織能夠預測潛在的攻擊。它為安全團隊提供寶貴的洞察力,包括攻擊媒介、敵人行為和新出現的弱點,可用於加強防禦措施。
另一方面,威脅獵取是一種主動、實際的方法,分析師會主動搜尋組織網路中的威脅。威脅獵人不會等待警示或已知的入侵指標,而是利用威脅情資提供的洞察力來調查自動化安全工具可能遺漏的潛在隱藏威脅。
威脅情資透過提供重要資料來支援威脅追蹤,而威脅追蹤則透過發現新的攻擊方法和弱點來改進威脅情資,因此這兩種作法對於全面的網路安全策略都是不可或缺的。
RetroHunting 的重要性
關於威脅搜尋的大部分討論都涉及已收集的數據,這些數據可以在輸入新資訊後進行分析以揭示威脅意識。許多網路安全解決方案都以這種方式運作,提供可以即時或稍後分析的數據。
然而,有些解決方案只能即時運作;它們會分析當時上下文中的資料,而當這些資料已脫離上下文時,就無法在未來以相同的深度進行分析。範例包括某些形式的網路資料分析,例如入侵偵測系統 (IDS)、在存取或製作檔案時檢查檔案內容的防毒軟體,以及幾種建立來分析串流資料然後將其丟棄的偵測管道。
網路威脅獵捕提醒我們,有些威脅很難即時偵測到,而且往往只有在未來知道更多關於威脅的情報時,才能偵測到這些威脅。
回溯狩獵("RetroHunting")是一種回顧方法,可讓先前收集的網路和檔案資料,利用現今對威脅環境的強化認知進行分析。OPSWAT的 Triage、Analysis and Control (TAC) 解決方案套件(包括MetaDefender NDR)專為威脅狩獵團隊而設,可實施回溯狩獵功能,協助防禦人員使用更新的偵測識別碼重新分析資料,從而發現防禦能力不足的威脅。
這是一種行之有效的方法,可將威脅情資、偵測工程、威脅獵取和事件回應的優點融合為全面的防禦模式。相較於單獨使用標準即時分析,使用 RetroHunt 的客戶能在其環境中偵測到並修復更多的活躍敵人據點。
瞭解戰術、技巧與程序 (TTP)
戰術、技術和程序 (TTP)是瞭解和對抗網路威脅的基礎。
策略是指攻擊者要達成的高層級目標,例如取得系統的初始存取權或滲透敏感資料。
技術描述用來達成這些目標的特定方法,例如竊取憑證的魚叉式網路釣魚或取得更深入網路存取權限的權限升級。
程序概述了這些技術的執行步驟,通常會根據攻擊者的技術水準和可用資源而有所不同。
透過分析 TTP,威脅獵人可以在網路威脅實現之前預測並加以識別。安全團隊不需要對個別警示做出反應,而是可以專注於追蹤敵人的行為模式,更容易偵測正在進行的攻擊,並預測潛在的下一步。
瞭解 TTP 可讓組織制定更好的防禦策略、加強系統以對抗特定的攻擊技術,並提升整體的網路安全復原能力。
縮短停留時間
停留時間是指威脅者在網路中未被偵測到的時間。縮短停留時間對於將網路威脅的潛在損害降到最低非常重要。主動式威脅獵捕可以在威脅完全執行其惡意目標之前,先行識別並減輕威脅,從而大幅縮短停留時間。
威脅獵捕實例
安全團隊發現多個端點的驗證請求異常。使用威脅獵取方法,他們發現攻擊者試圖在網路中橫向移動,讓他們可以控制進一步的影響,並防止資料外洩。
某公司的網路流量突然飆升至未知網域。威脅獵人進行調查,並發現一個與命令與控制 (C2) 伺服器通訊的後門木馬程式,使他們能夠在威脅擴散之前加以控制。
威脅獵人偵測到有權限的使用者帳戶嘗試存取敏感檔案的異常行為。調查發現內部人員正在滲出專屬資料,因此立即採取行動以防止進一步的損害。
敵人可能會使用許多隱蔽的持久性方法來保留對目標環境的存取權,以防他們透過主要方法失去存取權。威脅獵人會編輯一份可在其環境中使用的持久化技術清單,稽核這些方法是否被濫用,並找出敵人在今年較早時在被攻擊伺服器上安裝的 web shell。
透過主動獵捕威脅強化網路安全
威脅搜尋是主動式網路安全策略的重要組成部分。透過持續搜尋隱藏的威脅,組織可大幅提升其安全勢態、縮短攻擊停留時間,並減少網路威脅可能造成的損害。
為了領先網路敵人,組織應該投資於威脅獵取工具、發展內部專業知識,並利用先進的威脅情資解決方案。
常見問題
什麼是威脅獵捕?
威脅 偵測是主動搜尋網路、端點和資料集,以偵測繞過傳統安全措施的網路威脅。有別於被動式的安全防護,威脅獵取依靠人類的專業知識來發現自動化系統可能遺漏的隱藏威脅或進階威脅。
威脅獵人在網路安全中扮演什麼角色?
威脅獵人是網路安全專業人員,他們會在威脅造成危害之前主動尋找威脅。他們會分析網路流量、檢視安全記錄,並找出可能是攻擊訊號的異常現象。他們的工作可發現隱藏的威脅、改善偵測系統,並指導防禦改進,從而強化安全性。
為什麼威脅獵捕對關鍵基礎建設很重要?
威脅追蹤對於保護關鍵基礎架構至關重要,因為先進的威脅主動者通常會使用隱匿的策略來避開標準的安全工具。如果沒有主動的威脅獵捕,這些攻擊可能長期未被偵測到。威脅獵取有助於減少停留時間、改善事件回應,並支援符合網路安全法規。
網路威脅獵捕如何運作?
網路威脅獵捕遵循多步驟流程:
假設的產生:根據情報和過去的威脅形成理論。
資料收集:收集日誌、遙測資料和其他相關資料。
資料分析:識別可能顯示威脅的模式或異常現象。
調查:驗證調查結果並消除誤判。
回應:對已確認的威脅採取行動,以控制和解決威脅。
持續改善:利用每次狩獵的心得來強化未來的防禦。
網路威脅狩獵的類型有哪些?
四種主要的威脅獵捕類型是
結構化狩獵:以已知對手策略的假設為導向。
非結構化狩獵:由分析師的直覺驅動,不受限於預先定義的指標。
情境或實體驅動的狩獵:專注於特定的高風險資產或實體。
機器學習輔助狩獵:使用 AI 來偵測異常現象並支援人類分析。
主要的威脅獵捕模式有哪些?
威脅獵殺模型包括
以 Intel 為基礎的狩獵:使用 IOC 或 IP 位址等外部情報。
基於假設的狩獵:從分析或情境洞察建立調查。
使用 IOAs 進行調查:專注於對手的行為和攻擊方法。
以行為為基礎的獵捕:偵測異常使用者或網路行為模式。
哪些工具是威脅獵捕的必備工具?
有效獵捕威脅的主要工具包括
SIEM(安全資訊與事件管理) 系統
EDREndpoint 偵測與回應) 解決方案
NDR(網路偵測與回應)平台
MDR(管理式偵測與回應) 服務
安全分析平台
威脅情資平台
UEBA(使用者與實體行為分析) 系統
這些工具有助於彙集資料、偵測異常情況,並支援人為分析。
威脅獵取與威脅情資有何不同?
威脅情資收集並分析有關威脅的外部資訊,例如攻擊方法和弱點。威脅獵取使用該情報主動搜尋組織環境中的威脅。威脅獵取是親自動手和主動的,而威脅情資主要是資料驅動和策略性的。
什麼是 RetroHunting,為什麼它很重要?
RetroHunting是使用更新的威脅情資重新分析先前收集的資料的做法。它有助於偵測在即時分析過程中遺漏的威脅。這種方法在處理即時處理後會丟棄資料的系統 (例如某些 IDS 或串流分析工具) 時特別有價值。
什麼是網路安全中的 TTP?
TTPs 代表「戰術」、「技術」和「程序」:
策略:攻擊者的目標 (例如:資料竊取)。
技術:用來達成這些目標的方法(例如網路釣魚)。
程序:攻擊者使用的特定步驟或工具。
分析 TTP 有助於安全團隊偵測模式並預測未來的行動,使威脅偵測更具策略性且更有效率。
在網路安全方面,縮短停留時間意味著什麼?
停留時間是指威脅者在系統中未被偵測到的時間長度。透過在攻擊生命週期中提早識別威脅,縮短停留時間可將潛在損害降至最低。威脅獵捕透過早期偵測和回應,在縮短停留時間方面扮演關鍵角色。
有哪些實作中的威脅獵取範例?
- 偵測橫向移動:識別端點上未經授權的存取嘗試。
識別隱匿式惡意軟體:調查通往未知網域的異常網路流量。
獵捕內部威脅:尋找特權使用者帳戶的異常行為。
偵測備份的持久性:稽核持久化技術並發現隱藏的惡意軟體。
威脅獵捕如何強化網路安全?
威脅獵取可讓組織偵測到躲避自動化防禦的威脅,進而強化網路安全。它可改善事件回應、縮短停留時間,並支援主動的安全文化。
